(19,52,44) maniax промени заглавието на: #sa не-курс по системна администрация (логовете от сбирките ще се качват на sa.ludost.net) (19,52,53) режим (-o maniax) от kbot (19,59,16) maniax: u9, от грешното място си :) (19,59,24) maniax: сигурен съм, че не съм раздал v6 адреси :) (20,00,46) u3: привет на всички (20,01,04) u1: привет :) (20,01,50) u9 сега се казва u9__ (20,02,14) режим (+v u9) от kbot (20,02,48) maniax: такаааа (20,02,57) maniax: добрутро на всички, който дошъл, дошъл (20,03,03) maniax: (който не - ще чете лога на сайта) (20,03,39) u4: привет (20,03,42) u8: :) (20,03,49) maniax: ок, за dns-а - нали всеки е описал в собствената си зона същите dns-и, които са при мен ? (20,03,49) u1: :) (20,04,05) u4: maniax: би трябвало (20,04,13) u8: ами юзер2 нещо го няма да ме опише мене (20,04,14) u7: уж, поне изглежда да работи (20,04,18) u8: да има и той слейв (20,04,20) u2: тука съм бре (20,04,33) u8: айде описвам ме (20,04,40) u2: какво се очакма от мен да направя сега (20,04,53) u8: да сложиш моята зона при тебе на слейв (20,05,04) u8: и да ме опишеш че съм ти втори днс (20,05,08) u8: за твоята (20,05,28) u2: тоест да създам нов файл с копия от твоята конфигурация? (20,06,08) maniax: трябва да имаш IN NS запис и за него (20,06,28) maniax: т.е. за твоята зона, в твоите NS записи трябва да пише същите сървъри, каквито пише при мен (20,07,53) maniax: ей-сега ще я сложа във wiki-то (20,08,04) u7: maniax, има ли лесен начин, по който да провериш дали нашите настройки са наред? (20,08,19) tie сега се казва u5 (20,09,05) maniax: http://phyllis.ludost.net/wiki/index.php/DNS (20,09,14) режим (+v u5) от kbot (20,09,23) maniax: ами има един скрипт наоколо, ей-сега ще видя какво ми дава (20,11,15) u2: u8, ns2 IN A ip-то ти ли е правилния ред в зоновия файл? (20,11,36) u8: da (20,12,52) u8: u2: направи слейв зона в кофига където се описват зоните (се самите зони) за u8.ludost.net (20,13,01) u8: да си слейв за моята каквото е заданието (20,14,00) maniax: for i in `seq 0 9`; do echo $i ; for j in `dig +norec +noqr @freedns.ludost.net u$i.ludost.net NS |grep NS |grep -v \; | awk '{print $5}'` ; do echo $i $j ; dig +norec +noqr @$j u$i.ludost.net |grep -v \;; done ; done (20,14,03) maniax: нещо такова (20,14,12) maniax: и изглеждат ок нещата, само 6 го няма никакъв (20,14,39) maniax: и или ще го заместим, или по правилата ще изберем двама, които да се занимават с машината (20,14,55) u2: след type slave; трябва да добавя файл, което ме навесва на мисълта че трябва да създам още един зонов файл, но какво трябва да съдържа той? (20,15,08) u2: файла ще е u8.ludost.net.db? (20,15,10) maniax: u2: не, трябва да кажеш само, че го взимаш от него (20,15,20) maniax: той като го променя ще се update-ва и при тебе (20,15,43) u2: тоест след type slave; затварям скобите и това е (20,16,01) maniax: type slave; file ""; masters { x.x.x.x; }; (20,16,17) maniax: (пише го в документацията, много добре) (20,16,31) u1: zone "u8.ludost.net" in { type slave; file "/etc/bind/db.u8.ludost.net"; masters {78.128.6.188;}; allow-notify {78.128.6.188;} }; (20,16,51) maniax: да (20,17,09) maniax: като allow-notify не трябва да е задължително, ако е оня, който е описан като master (20,17,34) u1: hm, nice to know (20,17,36) u4: u1: мисля че allow-notify не е задължително (20,18,07) u8: е как да не е бе (20,18,20) u8: зависи де (20,18,30) u8: ама нали трябва да се ъпдейтва тая зона (20,18,30) u4: като си славе мисля че не (20,18,42) u8: като си мастър няма нужда (20,18,51) maniax: http://www.zytrax.com/books/dns/ch7/xfer.html#allow-notify (20,18,51) u2: сега трябва да е ок (20,19,00) maniax: default-а е само от описаните master-и (20,19,12) u8: хах ясно (20,19,20) u8: аз мислех че реже наред всичко (20,20,11) maniax: така, като гледам всичките са ви спрени transfer-ите навън за зоните (20,20,25) maniax: щото е такъв default-а, или по други причини?:) (20,20,47) u8: по дефаулт се транферират (20,20,57) u4: maniax: по дефаулт се трансферират (20,21,23) maniax: хм, мисля, че поне един-два os-а режеха по default, но може да греша (20,21,28) maniax: а тогава защо са спрени ?:) (20,21,50) u2: u8 има ли къде да видиш дали всичко е ок? (20,21,55) u8: няма нужда да са пуснати , не че е проблем но не виждам смисъл (20,21,58) u9: The default behaviour is to allow zone transfers to any host. (20,22,05) u4: ами от секюрити гледна точка не е хубаво някой да може да ти снеме цялата зона (20,22,07) u9: ot syshtiq dokument koito dade po gore (20,22,49) u8: u2: пускай тука (20,22,49) u0: също така нали се описва адрес, към който да е разрешен транфера? (20,22,53) u4: макар че има скриптове които обхожат на база ключови думи или речници но става по бавно (20,23,11) u4: u0: да може да опишеш (20,23,31) maniax: u4: какво е опасното нещо, което може да се научи от една зона? (20,23,31) u2: zone "u8.ludost.net" { (20,23,31) u2: type slave; (20,23,31) u2: file "/etc/bind/db.u8.ludost.net"; (20,23,31) u2: masters {78.128.6.188;}; (20,23,31) u2: }; (20,23,50) u8: перфе , слагай и релоадвай (20,23,56) u2: релоаднат е (20,23,57) u2: :) (20,24,15) u8: взе я (20,24,23) maniax: u2, u8 - irc-то има и /msg за директна комуникация :) (20,24,35) u2: тъкмо търсех в документацията къде е (20,24,36) u2: :) (20,24,37) u8: sry (20,24,42) u5: twitter generation :) (20,24,46) u0: ahhah (20,24,55) u8: haha :) (20,25,20) maniax: та, какво може някой лош човек да научи от dns зоната ?:) (20,25,33) u0: имена на вътрешни сървъри? (20,25,34) u4: maniax: ами опасно за някой може да се направи цялостна карта на всички адреси които са описани в зоната (20,25,40) maniax: (тва е ... въпрос без верен отговор, има мнението, че трансферите трябва винаги да са отворени, има и това, че не трябва) (20,25,47) u4: и някой които принципно не са известни (20,26,09) u4: по този начин този който иска да направи нещо (20,26,19) maniax: например хората, които се занимават с uni-sofia.bg си го държат отворен xfer-а, а там какви неща има... (20,26,23) u4: по лесно може да се ориентира макар че и не точно така (20,26,32) u7: <майтап>в интернет всички са врагове, колкото по-малко знаят, толкова по-добре (20,26,38) u4: двуяко е (20,26,55) maniax: иначе, отворения трансфер е животоспасяващ при някои дебъгвания (20,27,06) maniax: както и да има верни reverse записи за адресите (20,27,10) u5: maniax: съзнателно ли си го държат отворен? (20,27,22) maniax: което ми напомня, че ще трябва да направя това и с нашите, просто досега нямаше прав (20,27,24) u4: maniax: ние ще имаме ли верни PTR ? (20,27,28) maniax: u5: да, съзнателно и нарочно (20,27,36) maniax: u4: да, тия дни ще пиша (20,27,41) maniax: ще са си u$i.ludost.net (20,27,47) u4: оки супер (20,28,12) u4: понеже ако пускаме мейл сървъри някой филтри искат ptr (20,28,13) u0: не трябва ли с dig uni-sofia.bg axfr да мога да видя зоната им? (20,28,13) maniax: така ако правите нещо, хората ще знаят, че аз съм виновен :) (20,28,54) maniax: u0: dig @ns1.uni-sofia.bg uni-sofia.bg axfr (20,28,55) u4: u0: пробвай през NS на uni-sofia.bg (20,29,03) u0: аха, ясно (20,29,04) maniax: на тях вторичните им са в digsys, които не са съгласни (20,29,26) maniax: по същия начин от време оно на ludost.net два от сървърите не дават axfr, а третия дава (20,30,18) u4: maniax: може би е хубаво и да се попита дали dns ни трябва да отвръщат на рекурсивни външни заявки (20,30,23) u4: при мен са спряни (20,30,38) u1: и при мен (20,30,40) maniax: u4: това също е спорно :) въпреки че повечето хора са съгласни, че не (20,30,40) u4: само за 78.128.6.176/28 са пуснати (20,30,57) maniax: то всъщност имате ли идея къде е проблема с отвореността за рекурсивни заявки? (20,31,01) u7: maniax, zone transfer може ли да се ползва за частичен, отдалечен backup? (20,31,22) maniax: u7: какво значи "частичен отдалечен backup" ? (20,31,39) u7: ми знам ли, да се изтегли конфигурацията отдалечено (20,31,54) maniax: u7: то е само за зоните, не можеш да поискаш списък на зоните (20,32,05) maniax: ама това се ползва за да имаш такъв secondary server някъде на майната си (20,32,49) maniax: като пример, моите три nameserver-а са в evolink, telepoint и hoster (които не ги знам) (20,32,59) maniax: (т.е. ако замине софия, заминава и domain-а...) (20,32,59) u8: добре а каква точно ти е идеята като плюсове за напълно отворен трансфер ? (20,33,08) maniax: debug-ване (20,33,23) u8: dnssec ? (20,33,28) u8: или друго (20,33,42) maniax: най-простия case, казали са ти по телефона "на хост neshto.ludost.net" се намира еди-какво-си, а не го намира dns-а (20,33,46) maniax: и вероятно бъркаш как го изписваш (20,34,02) maniax: или кой точно им е nameserver-а, кой точно е host-а за нещо определено (20,34,11) maniax: понеже за всяка услуга има различни имена, дето може да се ползват (20,34,22) u0: за това ли uni-sofia.bg го държат отворен? (20,34,29) u0: или има и други причини (20,34,45) maniax: и защото смятат, че в dns-а не трябва да има нищо толкова важно, щото в крайна сметка пак може да се изброи и намери (20,34,51) u5: при положение че си администратор на dns-а лесно можеш да прегледаш конфигурационните файлове, нали? (20,34,57) maniax: (особено с dnssec, където си има почти директно такъв механизъм) (20,35,02) u8: да това има логика , но е за по големи зони може би (20,35,16) maniax: u5: никой не работи във вакуум, аз редовно трябва да работя с някакви чужди, до които нямам никакъв достъп (20,35,40) maniax: следващата ви задачка например е irc сървър (20,36,00) maniax: и ако имахте по няколко ip адреса и трябваше да ровите как съседа е кръстил irc сървъра си, че да го издирите, с това става по-лесно (20,36,20) u1: ок, т.е. да пуснем transfer и recursive? (20,36,23) maniax: и наистина dns-а не е подходящо място за криене на каквото и да е (20,36,30) maniax: за рекурсията проблемът е друг (20,36,39) maniax: т.е. основно са два (20,36,53) maniax: единия е "ама куцо и сакатато ще ме ползват" (което за толкова трафик никакъв проблем не е) (20,37,04) u5: аз не съм съгласен :) за един хакер, списъка с хостовете ти е много полезна информация (20,37,05) maniax: другото е "ще ме ползват за усилвател на DoS атаки" (20,37,22) u5: ако нямаш някаква наистина добра причина да го показваш на всички е по-добре да го скриеш (20,37,27) maniax: u5: той е лесно откриваем така или иначе (20,37,38) u5: не задължително (20,37,49) maniax: аз честно казано ползвам и двата варианта (20,37,50) u5: изброяването е сравнително бавен процес (20,37,50) u4: maniax: трябва да обхождаш (20,37,55) u4: и става по бавно (20,38,07) u4: а иначе така на веднъж дръпваш цялата зона (20,38,08) maniax: при скоростите в наши дни няма особено значение (20,38,12) u4: и си готов (20,38,22) maniax: т.е. 100к request-и минават за отрицателно време :) (20,38,33) maniax: нека си довърша мисълта за усилвателя :) (20,38,33) u8: maniax: за днс сървър на интернет доставчик където примерно хората се връзват на пппое и за всеки клиент има дднс за обратната и правата зона , ако ги отвориш такъв бруте форсе може да настане ... пример (20,39,02) maniax: u8: това се прави директно в/у зоната с ip адреси, никой не гледа dns-а (20,39,06) u8: примерно клиента записа му е във вида user.pppoe.x.x (20,39,15) maniax: да сканираш /8 мрежа всъщност е нищо сложно (20,39,25) u8: и това е така (20,39,39) maniax: (давахме го като задача на курса по мрежова сигурност даже) (20,39,45) u4: maniax: довърши мисълта за дос-а (20,39,52) u9: btw spetzialno v uni-sofia se hostvat publichni proekti kato AS112, choveka koito go e pravil tam beshe pisal che zonata e otvorena za transferi poneje tova e publichna usluga (20,40,01) maniax: та един dns пакет може да е до около 1000 байта (20,40,03) u9: i moje vseki da se uveri che zonata e takava kakvato trqbva.. bez dobavki i gluposti (20,40,06) maniax: т.е. отговор (20,40,12) maniax: request-а е около 50-60 (20,40,24) maniax: т.е. на един пратен пакет усилването е 20на пъти (20,40,42) maniax: т.е. може да пращате пакети от името на някой и той да получава 20 пъти повече трафик от колкото вие прщате (20,41,13) maniax: само ви трябва някъде зона, в която да набиете един голям запис с огромен ttl, така че и да ви разкарат domain-а, пак да стои дълго време (и да не товари вашия nameserver) (20,41,35) u4: :) (20,41,42) maniax: тва е сравнително често явление, btw (20,42,33) u0: има ли някакво име тази атака (20,42,35) u8: maniax: дайте глас на u6 (20,42,37) u0: да я гугълна (20,42,48) режим (+v u6) от kbot (20,42,55) maniax: u6: sry, не съм те видял (20,43,08) maniax: u6: ще успееш ли да си подкараш dns-а? (20,43,23) u0: u9__ също присъства (20,43,43) u9: toi prisystva poradi tehnicheski problem :) (20,43,51) maniax: u0: гледат се хората от вярното ip :) (20,43,58) u4: u9__: той с IPv6 (20,44,00) u4: :) (20,44,22) maniax: може и да измислим v6 по някое време, ама е малко крива историята (20,44,35) u8: това за мен ще е интересно (20,44,40) u4: maniax: интересно би било да се позабавляваме (20,44,44) maniax: щото telepoint нямат, а ще е грубо да им предложа да ми дадата за няколко дни достъп до router-ите им ... (20,44,57) u8: хахах :))) (20,45,01) u4: maniax: :) (20,45,09) maniax: ще видя дали мога да тунелирам отнякъде (20,45,32) maniax: anyway (20,45,40) u2: Това с ipv6 ми се вижда голяма обърквация на моменти, дори самите им адерси са ми супер извратени (20,45,44) maniax: о, да (20,45,59) u7: и трудно ще се помнят :-) (20,46,01) maniax: и никой не знае как точно да го пусне на всичкото отгоре, едни хора ми раздадоха /126 (20,46,16) u1: аз съм ползвал tunnelbroker.net (20,46,24) maniax: зависи, 2001:67c:20d0:b0::1 може да се помни лесно (20,46,32) maniax: хората слагат неща като :cafe: и т.н. (20,47,00) maniax: може да се дава адрес на всяка услуга, който завършва на порта и (20,47,04) u4: maniax: колко време ще продължи не-курса (20,47,14) maniax: и например :1:80 да е първия web сървър, :2:80 да е втория (20,47,23) maniax: u4: не знам точно, мисля, че няма да е повече от 3 месеца (20,47,31) u4: ок (20,47,35) maniax: има списък с неща за правене, и като свършат, свършва и курса (20,48,07) maniax: така (20,48,11) maniax: следващите неща за подкарване (20,48,26) maniax: едното е ntp, което ще видите, че така и така ви трябва за другото (20,48,45) maniax: т.е. има много неща, за които точния часовник е важен (20,48,54) maniax: а виртуалките не са от най-добрите в това отношение (20,48,59) maniax: другия е irc сървър (20,49,14) maniax: като четните от вас трябва да си направят една мрежа, нечетните - друга (20,49,25) maniax: и за да е ясно кои кои са, едните са oddnet, другите са evennet (20,49,32) u1: :) (20,49,37) maniax: след малко ще има irce.sac.ludost.net и irco.sac.ludost.net (20,49,46) maniax: или направо в ludost.net, ще видя (20,50,04) maniax: изискването е да са си свързани сървърите и да поддържат ssl (20,50,35) maniax: има ли някакви въпроси около това? (20,51,03) u8: около това не (20,51,06) u1: имаш ли да препоръчаш някакво четиво? (20,51,06) u4: maniax: ами трябва ли да се пускат NS, Cs и други такива (20,51,17) maniax: u4: както се разберете, ако искате, вдигнете services (20,51,26) u2: мии аз не знам точно как да си задам въпроса, звучи ми мааало объркващо, но за ssl-a ще сатне и с sslauthd предполагам (20,51,36) maniax: u1: ми не, документацията на предпочитания irc server (20,51,42) u2: а за irc ще се използва софтуера дето това в момента е пуснат предполагам (20,51,45) maniax: u6: не, те самите сървъри си имат поддръжка (20,51,51) maniax: u2: който си харесате (20,52,06) maniax: моето е ratbox, ама няма да ви карам да се връзвате с него (20,52,07) u0: ntp-то всъщност трябва да е само синхронизация с някой сървър? (20,52,11) maniax: и аз съм го избрал почти на random (20,52,19) maniax: u0: с няколко, ама то default-ния config си е такъв (20,52,21) u8: maniax: дефакто да се линкнат по 5 сървъвра в мрежа ли хъб ли как се казваше (20,52,27) maniax: може да погледнете pool.ntp.org (20,52,38) u0: аха (20,52,44) maniax: hub в irc се нарича сървър, през който може да виждаш други сървъри, ама това май почти отпадна (20,52,59) maniax: иначе, по-важното е да няма една машина, която като падне да се сцепи непоправимо мрежата (20,53,25) u8: а едни и същи канали се виждат нали така и едни и същи усерс ? (20,53,31) u8: от различните сървъри (20,53,34) u8: това е идеята (20,53,39) maniax: u8: от различните сървър в една мрежа - да (20,53,44) maniax: то това значи да са една мрежа :) (20,54,01) u8: ок , irc не съм пипал от 10 години сигурно (20,54,09) u8: а па сървър никога не съм пускал (20,54,15) u8: затова си питам (20,54,38) u0: колко време имаме за тази задача? (20,54,52) maniax: до понеделник, 8 часа (20,54,58) maniax: когато ще е и следващата среща, пак тук (20,55,00) u1: 20:00? (20,55,04) maniax: да, 20:00 (20,55,20) u8: понеделник няма да мога аз (20,55,29) maniax: по принцип, или не от 20:00 (20,55,34) u8: въобще (20,55,40) u0: трябва ли да ползваме мейлинг листата за комуникация в отбора? (20,55,42) u4: maniax: ще можеш ли да го пуснеш и в мейл листата (20,55,45) maniax: неделя? (20,55,45) u2: за irc значи пак до някаква степен трябва да работим навързано, а? (20,55,50) u4: новата задача (20,55,53) maniax: u4: да (20,55,54) u8: но 100% така или иначе ще съм готов преди това като задача (20,56,10) u8: неделя ми е перфектно (20,56,13) maniax: ами вие си решавате, но по принцип е по-добре да е в листата :) може някой друг да може да даде акъл, например (20,56,16) maniax: ок, останалите за неделя? (20,56,30) maniax: аз мисля, че 3 дни са предостатъчни за това (20,56,48) u4: ами мисля че неделя е хубав срок (20,56,48) u9: ok e (20,56,53) u7: аз съм ок за неделя (20,56,53) u0: дам (20,56,55) u1: ok (20,57,01) u3: неделя звучи ок (20,57,14) maniax: хм. секунда само и аз да погледна :) (20,57,34) u8: реално ntp-to се пуска за не повече от 5-10 минути (20,57,44) u1: ntp-то е лесно (20,57,45) u8: конфа е 20 реда (20,57,52) u8: със коментарите :) (20,57,56) u1: то и default е ок (20,57,59) maniax: връзването на irc-то е повечето време, а и вие не се занимавате full-time с тоя курс :) (20,58,00) u2: значи до неделя трябва да пуснем и irc и ntp-то? (20,58,01) u4: u8 повече играчка ще е irc-to (20,58,07) maniax: ми специално debian-ския default е перфектен (20,58,22) u8: само рестрикциите се едитват (20,58,28) u8: кой да може да пита за време (20,58,31) maniax: ок, 20:00 в неделя остава, ще пиша и в листата (20,58,47) maniax: u8: ами то вас ... освен phyllis никой няма да ви пита (трябва да мога да check-вам) (20,59,04) u4: maniax: ntp-тата отворенили да ги оставим за всички или само за мрежата на курса (20,59,35) u4: също и irc-тата (20,59,50) maniax: irc-то е отворено (20,59,51) u8: maniax: принципно исках да попитам ще пуснеш ли на phyllis на нагиоса плугини за чекване на тия демони (20,59,55) u8: dns , ntp (21,00,04) maniax: u8: да, то dns вече има, ей-сега слагам ntp (21,00,28) u8: че много нагиоси станаха и се обърквам какво гледам , ако и аз си пусна един на машината и го гледам с checker-a ще полудея (21,00,33) maniax: за irc ще ми отнеме малко време, мисля, че нямаше достатъчно хубав plugin (21,00,43) maniax: u8: моите са 5... не е толкова тежко :) (21,00,52) u8: мани ... (21,01,21) maniax: иначе, следващото вероятно ще е monitoring, щото в момента аз само ви следя дали я има машината (21,01,29) u7: nagios-агента за дебиан искаше да инсталира майка си и баща си, иначе щях да го сложа (21,01,30) maniax: а е хубаво да може да се види дали ви се препълва някой диск (21,01,49) maniax: u7: nsca-то? почти нищо не искаше май, само единия набор plugin-и иска много работи (21,02,38) u7: maniax: нещо друго съм гледал, това наистина е леко (21,03,35) maniax: мисля по някое време да отворя и моя личния nagios да се вижда (от много време се каня) и да направим някаква комбинация, да може да си следите по-добре машините (21,03,49) maniax: щото на курс, на който имате само по една машина, сами да се monitor-вате е малко криво :) (21,04,00) u8: именно (21,04,04) u8: по снмп ще е перфе (21,04,11) u2: Понеже нещата от курса са с цел да покажат реалността, чудех се къде би ни се наложило по професионална линия да пускаме irc? (21,04,32) u4: u2: и аз си мислех за това (21,04,44) u4: дори си мислех вместо irc за jabber (21,04,49) u1: +1 (21,04,52) u0: може да си правиш ботнет (21,04,56) ***u7 ще го бият и ще бяга (21,04,59) u0: ако си бед гай (21,05,12) maniax: u2: много web сайтове имат chat, който отзад е или irc, или jabber (21,05,14) u8: да jabber май е по-оефрта , аз се канех скоро да пускам личен (21,05,30) u4: така като гледам повече се ползва jabber (21,05,30) u1: и аз се канех (21,05,35) u9: mda, naskoro puskah web chat koito vsyshtnost beshe irc ;] (21,05,44) u2: maniax: Онлайн съпорт ли взираш, примерно при хостинзите? (21,05,55) maniax: u2: освен това irc-то е мнго хубав пример на коопериран федеративен service :) (21,06,12) maniax: u2: chat с chatroom, повечето социални сайтове имат нужда от нещо такова (21,06,23) maniax: отделни канали, в които потребителите да се запознават и говорят (21,06,31) maniax: т.е. преоткриват irc-то, само че с web интерфейс (21,06,40) u4: :) (21,07,10) maniax: аз лично го ползвам да следя twitter през него с един бот (21,07,17) maniax: много фирми ползват irc да си говрят всички на едно място (21,07,40) u0: а за ntp-то, трябва да е ntpd в server mode, не просто ntpdate с cronjob, нали така? (21,07,55) maniax: u0: задължително ntp (21,07,57) u4: u8: за следенето със snmp трябва да се внимава или поне да се пуска v3 щото е доста кофти (21,08,15) u8: евала им правя на тия фирми , в наща мениджърите ми казаха че "нямало нужда" ... (21,08,16) maniax: snmp-то е основно ако имате устройства, при които няма друг интерфейс (switch-ове и т.н.) (21,08,25) u4: да (21,08,30) u9: da, az go polzvam samo za mrejovite stats (21,08,36) u8: плугините за нагиос по снмп ми е мисълта (21,08,41) u9: vsichko drugo moje i cacti i nagios da go sledqt s ssh i da si vzimat neshtat (21,08,48) maniax: u8: пасивни check-ове с cron (21,08,57) u0: дето snmp означавало security's not my problem :> (21,09,07) u4: u0: точно (21,09,09) maniax: т.е. идеята ми за nagios-а е с пасивни check-ове, не да се връзвам постоянно по ssh до вас и да питам разни неща (21,09,24) u8: тва за пасивните чекове досега не съм ги пускал (21,09,39) u8: ще разгледам (21,10,04) maniax: mmnt (21,10,38) maniax: http://sa.ludost.net/stuff/do_checks.sh (21,10,48) maniax: нещо примерно, което ползвам, да submit-ва check-ове (21,11,25) maniax: доста грозно, но работи добре :) (21,11,44) u8: ще прегледам как седят нещата (21,12,01) u8: аз си следя load, ram , disk usage по снмп (21,12,10) u8: какъв е проблема с това ? (21,12,16) u8: освен че караш снмп демон (21,12,31) u4: u8: на локалната машина (21,12,37) u4: или отдалечено (21,12,43) u8: отдалечено разбира се (21,12,59) maniax: u8: snmp-то е криво като трябва да добавяш нови услуги, т.е. определено nagios-а е по-лесен (21,13,22) u8: ама той нагиоса ги чеква по снмп (21,13,24) u8: това казвам (21,13,30) u4: u8: ми до колкото знам snmp-то до v2 пращаше в чист текст инфото (21,13,31) u8: самите хостове имат снмп демони (21,13,39) maniax: добре, псивните check-ове са по-лесни, обърках се :) (21,14,05) u4: ако е snmp 3 там има някаква аутентикация и подписване (21,14,07) maniax: аз лично никога не съм имал хубав опит с linux-ките snmp демони (21,14,17) maniax: и snmp3 си е мъка, още повече (21,14,17) u8: maniax: и това е верно (21,14,26) maniax: аз пускам 2 и го затварям в мрежа, дето никой друг не го вижда :) (21,14,34) u8: и аз така правя (21,14,35) u4: maniax: така да (21,14,42) u4: на отделен админски влан (21,14,55) maniax: иначе мрежарите нямат избор, ама те и работят основно по telnet... (21,14,57) u4: но понеже съм виждал да се пуска (21,15,06) u4: и в основната мрежа и е готино (21,15,07) u4: :)))) (21,15,19) u8: ettercapa лети ли :) (21,15,39) u4: хаха (21,16,01) u8: аз имам още един въпрос по DNS-те (21,16,09) maniax: казвай (21,16,49) u8: гледам че повечето колеги са кръстили техните днси с техни имена? (21,16,54) u8: а то те вече си имат имена (21,17,07) u8: има ли такова нещо като "как е по-правилно ?" (21,17,33) maniax: вероятно има някакви педанти, за които има (21,17,46) u8: освен че пестиш 2 A записа (21,17,49) maniax: но по принцип винаги се предпочита да си кръстиш сървърите с имена от твоята зона (21,17,55) maniax: защото така се получават glue записи (21,18,16) u8: ясно , ще разгледам (21,18,32) maniax: т.е. като някой пита по-долния сървър за нещо в твоята зона и той знае само имена в нея самата, той ще трябва да има (и ще има) адресите на nameserver-ите (21,18,37) maniax: и ще ги върне като отговори (21,18,52) maniax: иначе, ако са в друга зона, ще каже къде са и ще трябва да се правят още една-две заявки, за да се намерят техните имена (21,19,13) u8: дам схванах (21,19,17) maniax: т.е. винаги е хубаво поне една част от nameserver-ите ви да са във самата зона с glue записи (21,19,35) u8: ясно мерси ! (21,19,47) u1: аз не схванах? (21,19,51) maniax: пример (21,20,03) maniax: ако resolve-ваш www.test.org (21,20,05) u9: i na men neshto mi ubqgna smisyla na kazanoto... (21,20,17) maniax: първо питаш root-servers, те ти казват - за .org отговарят еди-кои-си (21,20,23) maniax: после питаш тях (21,20,59) maniax: и те могат да ти кажат - за test.org отговаря ns1.test.org , но тогава трябва и да имат и да ти дадат адреса на ns1.test.org, понеже иначе няма начин да стигнеш до там (21,21,31) maniax: а могат да ти кажат ns1.test.net, и ти да тръгнеш пак да resolve-ваш през root server-ите ns1.pesho.net, да те пратят до неговите nameserver-и и да питаш тях (21,21,45) u8: да то това питам щото в случая го има А записа на тия NS-и нашите (21,21,56) maniax: да (21,21,59) maniax: и се спестява време (21,22,19) maniax: с dig +trace някакво-име (21,22,27) maniax: може да се види как точно изглежда процедурата (21,22,57) maniax: ludost.net е с glue записи (21,23,16) maniax: forthenature.org не е (21,23,27) maniax: може да сравните (21,23,34) maniax: (а аз по някое време мога да я конвертирам ...) (21,23,57) u9: a ima li nqkakyv problem v tova che ti si opisal moite syrvyri kato ns8.sac.ludost.net. i ns9.sac.ludost.net. (21,24,19) u9: a az ot moqta zona gi davam kato ns2.u9.ludost.net i ns1.u9.ludost.net (21,24,20) u9: ? (21,24,31) maniax: не (21,24,33) u9: ok (21,24,46) maniax: просто ако аз ги бях описал така, трябваше да напиша и техните ip-та при мен (21,25,41) u9: da de, no taka se poluchava che az ne sym authoritative server za tova koeto e opisano v glue-to (21,26,00) u9: i pomislih che moje da e losha praktika (21,26,18) maniax: гледа се по ip адрес (21,26,44) u8: реалано това можеш и с +trace да го видиш (21,26,57) u8: query-to към u9 минава през ns9.sac. (21,27,16) u8: но ако питам директно ns1.u9.ludost.net (21,27,26) u8: за u9 пак ще е ауторитив (21,27,39) u8: щото си го описал IN NS (21,28,07) u9: da, na men mi e qsno che resolvera shte se opravi i tochno s +trace go gledam (21,28,09) maniax: той ще отговори като authoritative, защото му е описан в зоните (21,28,30) u8: da , това казвам :) (21,28,35) maniax: т.е. nameserver-а смята, че е authoritative, ако зоната я има описана като master или slave (21,29,06) maniax: (ако го има като IN NS в зоната, обаче я няма на самия сървър, се води "lame server" :) ) (21,30,03) u9: qsno, znachi nqma problem che ne sym authoritative za nsa9.sac.ludost.net (21,30,06) u9: taka go razbiram (21,30,12) u8: а какъв отговор връща ако я няма физически ? (21,30,15) u8: SERVFIAL ? (21,31,28) maniax: зависи (21,31,39) maniax: ако е пуснат с рекурсия - ще върне отговора, но няма да е authoritative (21,32,01) maniax: ако не - по-скоро denied или както там се водеше (21,32,12) maniax: u9: да (21,32,57) u4: http://www.webdnstools.com/dnstools/domain_check (21,33,53) maniax: а, това го гледах, ама май нямаше хубав command-line вариант (21,35,30) maniax: вероятно на всички ще ви каже, че нямате пощенски сървър и spf-и (21,35,44) u1: да (21,35,48) u0: мда (21,35,56) maniax: (пуснах check-а за ntp) (21,36,37) maniax: някой даже вече го е подкарал :) (21,37,48) u4: maniax: ntp трябваше да е отворено само за 76.128.6.176/28 (21,37,56) u4: 78* (21,38,13) maniax: както решиш, може и така (21,38,48) maniax: на u5 работи, на u3 май още не е синхронизирало (21,38,50) u4: оки питах ако има някакво изискване (21,39,06) u1: отваряме за отвсякъде? (21,39,21) maniax: u1: както решите (21,39,31) u0: maniax: аз все още не съм си описал dns configa в wiki-то, ще го опиша утре сутринта (21,39,33) maniax: двете изисквания са да мога аз да го access-вам (от phyllis) и да сте синхронизирани (21,39,53) maniax: щото irc-то при над 30 секунди разлика в часовниците не се link-ва (21,40,11) maniax: и щото в първия момент, в който трябва да debug-вате нещо случило се на няколко машини е много важно да имате верни часовници (21,40,28) maniax: реално правилния setup е ntpdate на boot и после пускане на ntpd (21,40,56) maniax: понеже ntpd не прави големи скокове, а бавно намества часовника и разлика от един час може да отнеме дни, докато се изчисти (21,42,21) maniax: така, сещате ли се още нещо, или мога да кача лога вече ?:) (21,43,28) u0: аз не (21,43,50) u2: Всъщност се чудех това с чата различен начин за представяне на новите задачи ли беше или повече за опознаването :) (21,44,17) u0: според мен е много удобно за задаване на въпроси (21,44,29) u0: и maniax ни разясни доста неща май (21,44,40) maniax: u2: по-удобно е, щото разговорът е по-бърз и може да обсъждаме разни неща (21,44,40) u2: Мда, то за всичко си е удобно (21,44,49) maniax: в листата това щеше да отнеме много време (21,47,23) режим (-m ) от kbot (21,47,28) u1: ок, та никой не може да препоръча irc server? (21,48,40) u2: като се кънектваш към марла ти показва какво задвижва, точно в момента не се сещам (21,48,44) maniax: ок, ей-сега пращам лога, може спокойно да ползвате канала или листата и да се уговаряте (21,48,55) u9__: ratbox i hybrid7 se konfigurirat pochti identichno po spomen (21,48,57) maniax: направете после по една страничка на двете мрежи да кажете какво ползвате и т.н. (21,49,04) u2: а, да ратбокс (21,50,00) u4: ами четните номера u0m u2, u6, u8 можем да се уговорим нещо (21,50,25) u1: tie, ти на какво мнение си? (21,50,40) u2: аз малко не разбрах за кое точно трябва да се уговорим, в смисъл ни еще изградиме дна мрежа, но какво точно ще е екипното нещо